Twitter hoy preguntó todos sus usuarios considerar cambiar sus contraseñas después de descubrir un error que hizo que se almacenaran "desenmascaradas en un registro interno".
Según Twitter, el error se ha corregido y no ha visto "ninguna indicación de incumplimiento o mal uso por parte de nadie" después de una investigación.
Recientemente encontramos un error que almacenaba contraseñas desenmascaradas en un registro interno. Solucionamos el error y no tenemos indicios de incumplimiento o uso indebido por parte de nadie. Como precaución, considere cambiar su contraseña en todos los servicios en los que haya utilizado esta contraseña. https://t.co/RyEDvQOTaZRecientemente encontramos un error que almacenaba contraseñas desenmascaradas en un registro interno. Solucionamos el error y no tenemos indicios de incumplimiento o uso indebido por parte de nadie. Como precaución, considere cambiar su contraseña en todos los servicios en los que haya utilizado esta contraseña. https://t.co/RyEDvQOTaZ— Soporte de Twitter (@TwitterSupport) 3 de mayo de 20183 de mayo de 2018
Ver más
El error en sí está relacionado con la función hash que usa Twitter para enmascarar contraseñas. Twitter dice que las contraseñas se escribieron en un registro interno antes de que se completara el proceso de hashing, dejándolas expuestas. De Twitter:
Enmascaramos las contraseñas a través de un proceso llamado hashing usando una función conocida como bcrypt, que reemplaza la contraseña real con un conjunto aleatorio de números y letras que se almacenan en el sistema de Twitter. Esto permite que nuestros sistemas validen las credenciales de su cuenta sin revelar su contraseña. Este es un estándar de la industria. Debido a un error, las contraseñas se escribieron en un registro interno antes de completar el proceso de hash. Encontramos este error nosotros mismos, eliminamos las contraseñas y estamos implementando planes para evitar que este error vuelva a ocurrir.
Como medida de precaución, los usuarios de Twitter deben restablecer su contraseña para el servicio, así como para cualquier servicio que utilice la misma contraseña. Ahora también sería un buen momento para empezar a usar la autenticación de dos factores si no lo estás ya.